Kryptoblog

Kvällens sändning av SVT:s nyhetsprogram Aktuellt innehöll ett reportage om integriteten på Internet. Mer specifikt handlade reportaget om hur personer misstänkta för brott hängs ut med namn, bild m.m.

Reportaget inleddes med att Anna Hedenmo närmast indignerat påpekade att Aktuellt, precis som andra seriösa medier, inte publicerar namn på misstänkta, men att på Internets chattsidor och bloggar frodas uthängnings- och hämndmentaliteten.

MEN i reportaget illustreras chattsidor, bloggforum och Internetforum med en närbilder på en skärm där text från bland annat Flashback visas upp. Ett annat forum som (gissningsvis) visades upp var Fragbite. Mer exakt den här sidan.

Och tack vare dessa finfina närbilder kan man alltså mitt i bild i Aktuellts reportage om den hemska uthängningen på Internet läsa:

XXXXX YYYYY DEAD MAN WALKING

(Japp, jag har censurerat namnet. Vill du läsa får du gå till sidan själv.)

Hoppsan!

Så kan det gå. Det var väl inte så lyckat Aktuellt?

Jag har mailat Aktuellts redaktion och vad jag tror är rätt mailadress till Aktuellts ansvarige utgivare Anders Sundkvist. Vi får se vad jag får för svar.

Frågan är dock hur detta kunde ske. Var detta rent misstag i arbetet? Eller är Aktuellt så sneaky att dom gör ett reportage om uthängning, för att då få en chans att indirekt hänga ut de misstänkta för mordet på 16-åringen?

Enligt en artikel på EE Times håller USAs försvarsforskningsorganisation DARPA på att ta fram cyborginsekter som kan användas för spioneri. Exempelvis den här lilla gynnaren:

(Vet inte om det är en inbyggd reflex att stampa på kackerlackor, men den där triggar mitt stampben iaf…)

Radiostyrda djur kallade Hybrid-Insect MEMS (HI-MEMS) blir bärare av olika typer av tekniska system. Tänkbara applikationer för radiostyrda insekter är naturligtvis övervakning men även spårning, speciellt med hjälp av malar:

Moths are extraordinarily sensitive to sex attractants, so instead of giving bank robbers money treated with dye, they could use sex attractants instead,” said Easton. “Then, a moth-based HI-MEMS could find the robber by following the scent.

Att döma av artikeln verkar DARPA inte se några integritetsmässiga eller etiska problem med HI-MEMS, utan att detta är en förlängning av hur människan tidigare använt djur:

We have used horses for locomotion in wars,” according to Darpa’s description by its program manager, Amit Lal. “The HI-MEMS program is aimed to develop technology that provides more control over insect locomotion, just as saddles on horseshoes are needed for horse-locomotion control.”

Darpa cites that, historically, elephants have also been used for locomotion in wars, that pigeons have been used for sending covert messages, that canaries have been used to detect gases in coal mines, and that bees have been used to locate lands mines. Now it’s the moths and beetles turn to report for duty, just as dogs have already done.

Tekniken som sådan har förekommit i SF-litteraturen, bla av Peter F Hamilton. Men nu ser det ut att pågå ett antal konkreta projekt. Lite skrämmande är det. Fräckt, men skrämmande.

Att det är MEMS-teknik som gör det hela möjligt inser man när man ser den här bilden från Wikipedia:

Tekniken krymper och nya möjligheter öppnar sig…

(Jag har läst ett antal intressanta artiklar och rapporter som jag tänkt blogga om, men inte hunnit med - så nu kommer en radda postningar med lästips.)

Lars Ilshammar, historiker, journalist och chef för Arbetarrörelsens arkiv och bibliotek, har skrivit en rapport/essä om när datorerna blev farliga.

Vad Ilshammars text handlar om är inte när datorerna rent tekniskt blev farliga - utan när den mediala debatten och den politiska uppfattningen i Sverige om datorer, både tekniken i sig och användningen av tekniken, övergick från i grunden teknokratiskt och optimistiskt till att vara kritiskt. Ilshammars sammanfattning förklarar det hela:

During the 1960s, Swedish society underwent a rapid and revolutionary computerisation process. Having been viewed as a harmless tool in the service of the engineering sciences during the first part of the decade, the computer became, during the second part, a symbol of the large-scale technology society and its downsides.

When the controversy reached its peak in 1970, it was the threats to privacy that above all came into focus. This debate resulted in the adoption of the world’s first data act in the early 1970s. This paper will study and analyse the Swedish computer discourse during the 1960s, with special focus on the establishment of the Data Act. The core issues are what factors of development and what main figures were instrumental to the changing approach to computer technology during the later part of the decade.

Rapporten är mycket intressant att läsa, inte minst med tanke på den debatt som i dag förs om datalagring, buggning och avlyssning av olika typer av kommunikation. I slutet av 60-talet och bara några få in på 70-talet rasade en rejäl debatt om integritet och då speciellt de hot mot den privata integriteten som datatekniken gav möjlighet till.

Det är två saker som jag reagerar på när jag läser Ilshammars rapport. Dels hur fort omslaget från en i grunden positiv inställning till en negativ inställning gick. På några få år, från 1968 till ungefär 1972, slår attityden om närmast fullständigt och innebär konkreta förändringar som införandet av datalagen och inrättandet av Datainspektionen. Den andra saken jag reagerar på är vilka som gick i frontlinjen för att värna den personliga integriteten - det var nämligen Folkpartiet tätt följda av Moderaterna, samma partier som i dag går i frontlinjen för att inskränka integriteten med hjälp av datorer.

Jag hoppas att företrädare för dessa partier från den tiden pratar med dagens företrädare och diskuterar hur man då resonerade vad gäller skydd för den personliga integriteten kontra effektiv myndighetsutövning och skillnaden mot dagens samhälle. Jag tror vi i det här fallet har mycket att lära av dåtiden.

En bok som då kunde vara bra att läsa är Datamakt, skriven 1975 av den Folkpartistiska riksdagsledamoten Kertin Anér (ISBN 91-7070-421-X). Boken är alltså skriven i efterdyningarna av den debatt Ilshammar skriver om, och en bra sammanfattning av hur man inom Folkpartiet och borgarna resonerade. Boken ser man ofta på antikvariat och är värd att plocka upp. (Jag betalade 20 SEK för mitt ex.)

Ok, förutom integritetsapekter, vad har detta med IT-säkerhet att göra? Jo en koppling jag gör är att i dag finns det reella hot - phising, identitetsstöld, virus, spam, trojaner som folk är relativt medvetna om. Till detta tillkommer ökad övervakning med kameror, buggning etc - detta utan att farorna analyseras speciellt mycket. Samtidigt exponerar sig folk på Facebook, MySpace, Flickr etc och tycker att det är helt ok. Vi har alltså en mycket komplex blandning av psykologi, integritet, datoranvändning, reeella och imaginära hot samt utdelning och bearbetning av personlig information med i många fall global exponering.

I detta läget kanske vi, precis som när datorerna blev farliga, borde ha en ordentlig offentlig debatt. Det kanske är dags att exempelvis sociala nätverk på Internet, messa, LOL-cats, övervakningskameror och e-myndigheter betraktas utifrån säkerhet och integritet? Att dom kanske är lite farliga.

Enligt en artikel på NY Times håller myndigheterna i södra Kina på att bygga upp ett helt nytt system för massiv elektronisk övervakning av sina medborgare. I staden Shenzhen planeras att sätta upp 20 000 kameror som även har stöd för ansiktsigenkänning.

Vidare skall stadens drygt 12 miljoner innevånare utrustas med ett elektroniskt boendekort. Kortet lagrar information som:

• Namn och adress
• Yrkeserfarenhet och betyg
• Utbildningsnivå
• Religion
• Etnisk tillhörighet
• Polisiär status
• Medicinsk status och försäkringar
• Kontaktinformation till hyresvärd
• Reproduktionshistorik
• Kreditstatus

Jösses!

Även om myndigheterna ser att all den informationen är bra att ha, och att det är ok att titta på all den högst privata informationen så innebär detta att stadens innevånare plötsligt riskerar att bli föremål för ID-stöld, inte bara på namn och adress, utan på information som kan leda till stor skada om den hamnar i fel händer.

Det man kan hoppas på är att om liknande idéer dyker upp här i Sverige slås det ner direkt, men med tanke på alla förslag som kommit och accepteras kan man ju bli en smula orolig. Ibland tappar man hoppet för mänskligheten…

Infrant (numera Netgear) är tillverkare av den populära nätverkslagringsenheten ReadyNAS.

Enligt en pressrelease från tillverkaren visar det sig att det finns en funktion i ReadyNAS OS RADIiator som gör det möjligt för Infrant/Netgear att få rootaccess på en ReadyNAS:

Each ReadyNAS system incorporates a different root password that can be used by NETGEAR Support to understand and/or fix a ReadyNAS system remotely using the ReadyNAS serial number as a key.

An attacker that has obtained the algorithm (and your serial number) to generate the root password would be able to remotely access the ReadyNAS and view, change, or delete data on the ReadyNAS.

Infrant har nu släppt verktyget ToggleSSH som gör det möjligt att slå av SSH-bakdörren. Har du en ReadyNAS bör du nog tanka ner och applicera det verktyget. Bakdörren har dock skapat en hel del upprördhet, inte bara för att tillverkaren har ansett sig ha ett behov av denna möjlighet, utan för att man mörkat om att fuktionen har funnits.

(Ok, detta handlar inte direkt om IT-säkerhet…)
I den utmärkta tidskriften Tvärsnitt hittade jag en blänkare om ett arbete inom sociologi kallat Fri och öppen programvara - en studie om de nya utopisterna:

De som utvecklar öppen källkod och delar filer på Internet utmanar synen på ägande. Sociologen Carl Göran Heidegren har studerat en rörelse vars idéer har omvälvande sprängkraft. Han säger sig ha funnit de moderna utopisterna.

Carl-Göran Heidegren har ställt frågor till medlemmar i Svenska Linuxföreningen, som samlar drygt 3000 förespråkare för öppen programvara. Studien ingår i ett större projekt om så kallade livsföringsmodeller bland unga.

Värden som frihet, frivillighet och öppenhet slog an hos Linuxanvändarna. De värdena var viktigare för dem att försvara än att ha kul. Men lika högt skattades värdet av samarbete och gemenskap. Linuxföreningens medlemmar fann en glädje i att gratis dela med sig av sina kunskaper, visar studien.

En stor del av Linuxföreningens medlemmar, i synnerhet de under 25 år, tyckte att principerna borde ligga till grund för en ny samhällsform. Här blir undersökningen särskilt intressant, menar Carl Göran Heidegren. Dragna till sin spets sätter den här sortens värderingar principer om patenträtt, copyright och ägande i gungning. Vad kan ägas, vad kan skyddas för insyn och vad ska vara tillgängligt för alla?

- Hela projektet öppnar sig mot nya utopier. Helt klart är att Linuxanvändarna ställer högre krav på transparens i samhället. De söker mer öppna former för olika verksamheter än den traditionella slutenheten som präglar vissa områden av vårt samhälle, säger Carl-Göran Heidegren.

Projektledaren för studien är alltså Carl-Göran Heidengren, docent och lektor i Sociologi vid Lunds Universitet.

Enligt en sida på institutionen för Sociologi i Lund skall det finnas ett working paper från projektet. Dock lyckas jag inte hitta det tillgängligt på nätet.

Hittar någon en länk till arbetsartikeln skulle jag uppskatta om ni skickade den. Det skulle vara intressant att få läsa vad Carl-Göran och hans grupp kommer fram till vad gäller synen på frihet, öppenhet och tillgänglighet även för information, ex Wikipedia och kopplingen till personlig integritet. (Och då fanns det en koppling till IT-säkerhet i alla fall…)

Enligt ett pressmeddelande satsar Krisberedskapsmyndigheten (KBM) på att stödja ny forskning inom IT-säkerhet:

Krisberedskapsmyndigheten (KBM) har alltsedan myndighetens bildande 2002 genomfört tematiska utlysningar av forskningsmedel. Nu utlyser KBM medel i temat informationssäkerhet där tvärvetenskaplighet och praktisk samverkan prioriteras.

KBM:s syfte med denna temautlysning är att främja kunskapsutveckling inom informationssäkerhet för att skapa tillit och trygghet till informationssamhället med internet som en dominerande infrastruktur.
Mot bakgrund av ovanstående synsätt kommer KBM att prioritera projektansökningar som nedanstående områden:

• Ledning, styrning och organisation av informationssäkerhetsarbete
• Standards och andra ramverk inom informationssäkerhet och deras tillämpning
• Informationssäkerhetskultur; medvetenhet och beteende
• Konflikter mellan intressen och värderingar rörande informationssäkerhet
• Informationsoperationer, IT-relaterad brottslighet och terrorism
• Beroenden av informationsinfrastrukturer, elektroniska tjänster och styr- och kontrollsystem

Mer information om satsningen hittar du på KBMs sida om temautlysningen.

Per Ström, Integritetsombudsmannen på tankesmedjan Den Nya Välfärden publicerade för en dryg vecka sedan ännu en rapport i sin Storebror-serie. Den här gången är det RFID som behandlas i Med Storebror i byxfickan. Anders R Olsson har läst rapporten och konstaterar att:

När information om våra rörelser väl finns lagrad någonstans blir kraven på polisiärt utnyttjande snart oemotståndliga.
Nyhetsmedia frossar i de mest avskyvärda brotten, varvid den allmänna opinionen piskas upp till den grad att alla sekretessbestämmelser knäcks. Ska sekretessen få skydda mördares, våldtäktsmäns eller pedofilers identitet?

Bit för bit byggs polisstatens tekniska infrastruktur. Pär Ström är kunnig och skriver föredömligt enkelt. Av allt att döma lär varken tekniska eller juridiska knep skydda oss, i längden, mot missbruk av rfid.

Lagstiftning behövs ändå, naturligtvis. Något motstånd är bättre än inget alls, men framförallt är det allmän upplysning och offentlig debatt vi behöver.

Jag tycker att Pär Ströms rapport är värd att läsa inte minst för att den sätter perspektiv på takesmedjan Eudoxas rapport Den hänsynsfulla taggen som kom för nåot år sedan och jag bloggat om tidigare. Skillnaden mellan de hotbilder och risker med ökad RFID-användning som tankesmedjorna Den Nya Välfärden och Eudoxa målar upp kan knappast bli större.

Pär Ströms rapport finns nu även att ladda ner som podradio/ljudbok så du kan lyssna på den i hängmattan. Och för den som funderar på hur man tekniskt skall arbeta med RFID för att hantera en del av de tekniska problem som Ström pekar på rekommenderas NISTs rapport om RFID och säkerhet.

Det blev en ny IT-kommission, fast precis som Webben 2.0 är det same same but different och nu är det istället ett IT-råd med delvis nya namn. Näringsdepartementet beskriver syftet med IT-rådet på följande sätt:

Rådet skall vara ett forum för strategisk diskussion mellan regeringen och företrädare för olika samhällsområden och ge perspektiv på lokal, regional och nationell nivå, utifrån ett näringspolitiskt angreppssätt. Syftet med rådets arbete är bland annat att utbyta åsikter och dela erfarenheter, och att uppmärksamma och diskutera framtida utmaningar. Eftersom IT i stor utsträckning påverkas av den internationella utvecklingen ska detta perspektiv också uppmärksammas.

Personerna som ingår i rådet är:

• Caroline Andersson, Manager och ansvarig för affärsområde Offentlig sektor, konsultfirman BearingPoint

• Bo Dahlbom, Professor, Göteborgs universitet

• Jonas Bergqvist, Verkställande direktör, LRF-konsult

• Håkan Eriksson, Forskningschef, Ericsson

• Helena Ervenius, Ansvarig för it-frågor, Regionförbundet Kalmar

• Anne-Marie Fransson, Förbundsdirektör IT & Telekomföretagen inom Almega

• Patrik Fältström, Senior Consulting Engineer, Cisco

• Lars Hultkrantz, Professor i nationalekonomi, Örebro universitet

• Kristina Höök, Professor i människa-maskin interaktion vid Data- och Systemvetenskapliga Institutionen, Stockholms Universitet

• Maria Khorsand, Tillträdande vd och koncernchef, Sveriges Tekniska Forskningsinstitut

• Eva Lindqvist, Styrelseordförande och ledningskonsult. F.d. Senior VP, Mobile Business, TeliaSonera

• Nicklas Lundblad, Stabschef, Stockholms Handelskammare

• Ingrid Udén Mogensen, Chief Information Officer, informationssäkerhetsansvarig, Electrolux

• Ann-Marie Nilsson, Direktör Proment, f.d. vd IT-företagen

• Jan Rosén, Professor i immaterialrätt, Stockholms Universitet

• Pär Ström, Integritetsombudsman, tankesmedjan Den nya välfärden

• Roger Wallis, Professor KTH, Dept of Media Technology & Graphic Arts

• Shori Zand, Koncernchef, Storken barnmorskemottagningar

Rådets uppdrag löper fram till slutet på 2008. Den stora frågan är inte om rådet kan tillföra kompetens, utan att politiker och förvaltning tar till sig av rådets kompetens. Annars blir det mycket snack och lite verkstad.

Intel har precis lanserat nya processorer och nya chipset för x86-plattformar. En nyhet som inte fått så stor uppmärksamhet är något Intel kallar Active Management Technology. AMT är ett teknik avsedd att göra det möjligt att övervaka, underhålla och kontrollera datorer på avstånd. AMT gör det exempelvis möjligt att:

• Övervaka och kontrollera (filtrera) nätverkstrafik - innan/under OS:et
• Skicka ut patchar till datorer - även om datorerna är avstängda(!)
• Kontrollera, uppgradera, ändra, lägg till och ta bort programvara
• Isolera och stäng av datorer som har blivit infekterade
• Slå av och på matningen till en maskin
• Vidarekoppla hårddisk-accesser till en nätverksplats
• Vidarekoppla musen, tangentbord, skärm och andra periferienheter till en nätverksplats

AMT är baserad på funktioner i chipsetet som gör det möjligt att kommunicera med funktionalitet i chipsetet och även med processorn out-of-band, dvs i en sidokanal, antingen via LAN över seriell anslutning eller direkt över Ethernetinterfacet:

Det sitter alltså en microcontroller i MCU:n som alltid är igång (så länge nätsladden är inkopplad) och kan ta emot kommandon även om maskinen ser ut att vara avstängd. Microcontrollern är utrustad med en SW-miljö som implementerar ett stort antal servicefunktioner och ger även kunder möjlighet att lägga till egna funktioner:

Och en av de viktigaste delarna är alltså att det går att kommunicera med maskinen genom en separat TCP/IP-stack. Dvs även om det finns en brandvägg eller andra säkerhetsfunktioner applicerade för OS:ets TCP/IP-stack finns det en sidokanal in i systemet:

AMT ger alltså systemägare och administratörer helt nya möjligheter att övervaka och kontrollera en stort uppsättning PC-maskiner. AMT kommer även med ett XML (SOAP)-baserat system för att hantera AMT-klienter.
Men samtidigt reser sig håren på mina armar när jag börjar tänka på vad som skulle hända om AMT började användas för fel/dumma syften.

Hur lätt blir det att detektera- och skydda sig mot rootkit som smiter in via AMT. Rutkowskas Blue Pill ligger tankemässigt farligt nära. Det finns säkerhetsfunktioner i AMT för att se till att det inte sker. Det finns stöd för Kerberos och Active Directory-baserad autenticiering. Vidare stöder den inbyggda TCP/IP-stacken även TLS-skyddad kommunikation.

För den som vill veta mer om AMT finns det ett flertal sidor på Intels webbplats. Det finns även ett utvecklingskit (SDK) för AMT att ladda ner gratis från Intels webbplats.